我正在使用javascript进行身份验证程序。我没有散列就能正常工作。为此,我使用一个数据库来存储用户ID,用户名和密码。用户信息使用注册功能添加到数据库中。然后我们有一个登录页面,它发送一个sql查询以使用用户名和密码来获取用户。如果匹配,那么我们将会话设置为找到的用户,然后我们转到仪表板。
使用散列时,我使用bcrypt成功散列密码,然后将其存储在数据库中。但是,当尝试使用bcrypt的比较函数比较用户给出的密码时,未定义散列。我怎样才能使它工作?
我试过使用以下内容:
let hash = bcrypt.hashSync(password,10);
这会破坏用户提供的密码,但这会给我一个新的不同密码,因为这是哈希工作的方式。当不包括哈希变量时,我总是得到它没有定义的错误。
exports.login = function(req, res){
let sess = req.session;
if(req.method === "POST"){
let bcrypt = require('bcrypt');
let saltRounds = 10;
let post = req.body;
let name = post.user_name;
let password = post.password;
let sql = "SELECT id, first_name, last_name, user_name FROM `users` WHERE `user_name`='" + name + "'";
bcrypt.compare(password, hash, function(err, res) {
db.query(sql, function(err, results){
if(results.length && res){
req.session.userId = results[0].id;
req.session.user = results[0];
console.log(results[0].id);
res.redirect('/home/dashboard');
}
else{
message = 'Username or password incorrect';
res.render('index.ejs',{message: message});
}
});
});
} else {stuff}
}
密码散列在另一个函数中完成:
exports.signup = function(req, res){
message = '';
if(req.method === "POST"){
// bcrypt hashing: Maybe planning on doing passport if usefull
let bcrypt = require('bcrypt');
let saltRounds = 10;
let post = req.body;
let name = post.user_name;
let password = post.password;
bcrypt.hash(password, saltRounds, function(err, hash) {
let sql = "INSERT INTO `users`(`user_name`,`password`) VALUES ('" + name + "','" + hash + "')";
let query = db.query(sql, function (err, result) {
message = "Account has been created.";
res.render('signup.ejs', {message: message});
});
});
} else {
res.render('signup');
}
};
目标是使用散列密码进行工作比较。现在,我只有哈希工作,我不知道如何做第二部分。
我想保持2个功能分开
代码在没有散列的情况下工作。但升级是目标。
然后我们有一个登录页面,它发送一个sql查询以使用用户名和密码来获取用户。如果匹配,那么我们将会话设置为找到的用户,然后我们转到仪表板。
现在应该使用相同的方法。您不是检索密码,而是检索哈希值,而不是检查它是否相等,而是使用bcrypt.compare。
但是,当尝试使用bcrypt的比较函数比较用户给出的密码时,未定义散列。我怎样才能使它工作?
您的hash变量未定义,因为您需要先执行SQL查询:
let name = post.user_name;
let password = post.password;
// TODO: rename "password" column to "password_hash"
let sql = "SELECT id, password, first_name, last_name, user_name FROM `users` WHERE `user_name`=?";
// ^^^^^^^^ prevent SQL injection by using parameterised query ^
db.query(sql, name, function(err, results) {
if(!err && results.length) {
var hash = results[0].password;
// ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
bcrypt.compare(password, hash, function(err, ok) {
if (!err && ok) {
req.session.userId = results[0].id;
req.session.user = results[0];
…
} else{
…
}
});
} else {
…
}
});